Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es un honeypot? Una trampa para atrapar a los hackers en el acto

[23/04/2019] Un honeypot es una trampa que un profesional de TI pone para un hacker malicioso, con la esperanza de que interactúen con éste de una manera que proporcione inteligencia útil. Es una de las medidas de seguridad más antiguas en TI, pero tenga cuidado: atraer a los hackers a su red, incluso en un sistema aislado, puede ser un juego peligroso.

La definición simple de Norton de un honeypot es un buen punto de partida: "Un honeypot es una computadora o sistema informático destinado a imitar los posibles objetivos de ataques cibernéticos." A menudo, un honeypot se configurará deliberadamente con vulnerabilidades conocidas para ser un objetivo más tentador u obvio para los atacantes. Un honeypot no contendrá datos de producción ni participará en tráfico legítimo en su red; así es como puede darse cuenta de que cualquier cosa que ocurra dentro de él es el resultado de un ataque. Si alguien pasa por ahí, no tiene buenas intenciones.

Esa definición abarca una amplia gama de sistemas, desde máquinas virtuales básicas que solo ofrecen unos pocos sistemas vulnerables, hasta redes falsas construidas de manera elaborada que abarcan múltiples servidores. Y los objetivos de aquellos que construyen honeypots también pueden variar ampliamente, desde la defensa en profundidad hasta la investigación académica. Además, ahora existe toda una categoría de marketing de tecnología de engaño que, si bien no cumple con la definición estricta de un honeypot, definitivamente pertenece a la misma familia. Pero llegaremos a eso en un momento.

Tipos de honeypots

Hay dos esquemas diferentes para categorizar honeypots: uno basado en cómo se construyen y otro basado en para lo que son.

Veamos primero las diferentes formas en que se puede implementar un honeypot. Fidelis Cybersecurity lo descompone en:

  • Un honeypot puro es un servidor físico configurado de tal manera que atraiga a los atacantes. El software de monitoreo especial vigila la conexión entre el honeypot y el resto de la red. Debido a que se trata de máquinas en todo el sentido de la palabra, se convierten en un objetivo de aspecto más realista para los atacantes, pero existe el riesgo de que los hackers le den la vuelta a la situación en contra de los creadores del honeypot, y usen el honeypot como servidor de pruebas para los ataques. También requieren mucha mano de obra para configurar y administrar.
  • Un honeypot de alta interacción utiliza máquinas virtuales para mantener aislados los sistemas potencialmente comprometidos. Se pueden ejecutar múltiples honeypots virtuales en un solo dispositivo físico. Esto hace que sea más fácil escalar a múltiples honeypots y a sistemas comprometidos con sandbox, y luego apagarlos y reiniciarlos, restaurándolos a un estado impecable. Sin embargo, cada máquina virtual sigue siendo un servidor completo, con todos los costos de configuración del operador.
  • Un honeypot de baja interacción es una máquina virtual que solo ejecuta un conjunto limitado de servicios que representan los vectores de ataque más comunes, o los vectores de ataque que más le interesan al equipo que construye el honeypot. Este tipo de honeypot es más fácil de construir y mantener, y consume menos recursos; pero es más probable que se vea "falso" ante un atacante.

Otra forma de dividir a los honeypots es por las intenciones de quienes los construyen: existen honeypots de investigación y honeypots de producción. La distinción entre los dos entra en el dilema de para qué se utilizan los honeypots en la práctica, por lo que lo discutiremos a continuación.

¿Para qué se utiliza un honeypot?

Como lo explica la Information Security Solutions Review, los honeypots de investigación tienen como objetivo permitir un análisis detallado de cómo los hackers hacen su trabajo sucio. El equipo que controla el honeypot puede observar las técnicas que utilizan los hackers para infiltrarse en los sistemas, aumentar los privilegios y, o también volverse loco a través de las redes objetivo. Estos tipos de honeypots son creados por compañías, académicos y agencias gubernamentales de seguridad que buscan examinar el panorama de amenazas. Sus creadores pueden estar interesados en saber qué tipo de ataques existen, obtener detalles sobre cómo funcionan los tipos específicos de ataques, o incluso intentar atraer a un hacker en particular con la esperanza de rastrear el ataque hasta su origen. Estos sistemas a menudo se construyen en entornos de laboratorio completamente aislados, lo que garantiza que las violaciones no resulten en que las máquinas no honeypot sean víctimas de ataques.

Por otro lado, los honeypots de producción generalmente se implementan cerca de la infraestructura de producción de alguna organización, aunque se toman medidas para aislarlo tanto como sea posible. Estos honeypots a menudo sirven como cebo para distraer a los hackers que pueden estar intentando ingresar a la red de esa organización, manteniéndolos alejados de datos o servicios valiosos; también pueden servir como canarios en la mina de carbón, indicando que los ataques están en marcha y, al menos en parte, tienen éxito.

¿Cuál es la diferencia entre un honeypot y un honeynet?

Las honeynets son una extensión lógica del concepto honeypot. Un honeypot es una máquina individual (o máquina virtual), mientras que un honeynet es una serie de honeypots en red. Los atacantes, por supuesto, esperan encontrar no solo una máquina en la infraestructura de su víctima, sino muchos servidores de diferentes tipos especializados. Observando a los atacantes moverse a través de la red de servidores de archivos a servidores web, tendrá una mejor idea de lo que están haciendo y cómo lo están haciendo -y estarán más dispuestos a creer que realmente han violado su red. Una característica clave de las honeynets es que se conectan e interactúan como lo haría una red real, pues una capa emulada o abstraída sería un aviso.

Los honeypots y honeynets son la base de la llamada tecnología de engaño. Los productos de engaño a menudo incluyen honeypots y honeynets, pero también ponen archivos de "cebo" en los servidores de producción. Marc Laliberte de DarkReading dice que la categoría "se refiere más o menos a honeypots y honeynets modernos y dinámicos". La mayor distinción es que la tecnología de engaño incluye características automatizadas que permiten que la herramienta responda en tiempo real a los ataques, atrayendo a los hackers a un activo de engaño en lugar de a su contraparte real.

Un punto clave sobre todas estas herramientas, como señala Laliberte, es que, si bien proporcionan datos sobre los atacantes, no necesariamente responden directamente a esos ataques. Aún necesita que alguien analice la información sobre lo que los atacantes están haciendo en su honeypot o honeynet, aunque existen proveedores de seguridad que ofrecen análisis y protección como un servicio, por lo que no necesita manejar esto internamente.

Historia de honeypot

Una de las primeras historias de alto perfil de Infosec involucró lo que seguramente fue el primer uso de un honeypot. Como se detalla en su libro, The Cuckoo's Egg, en 1986, Clifford Stoll, administrador del sistema de la Universidad de Berkeley, intentó rastrear un cargo aparentemente erróneo de 75 centavos de dólar por el uso de un sistema Unix en Lawrence Berkeley Lab. En el proceso, descubrió que alguien estaba ingresando al sistema y había logrado obtener acceso de superusuario. Stoll implementó dos defensas tipo honeypot para rastrear al hacker: conectó terminales prestados a las cincuenta líneas telefónicas entrantes durante un largo fin de semana y esperó a que el hacker llamara; al darse cuenta de que el atacante estaba buscando información sobre los secretos de la defensa nuclear, creó un departamento completamente ficticio en LBL que supuestamente trabajaba en el sistema de defensa de misiles "Star Wars" para atraer al hacker a pasar tiempo ahí. Finalmente, el atacante fue arrestado y se reveló que era un alemán occidental que trabajaba para la KGB.

Otro importante incidente temprano de honeypot se produjo en 1990, cuando un hacker intentó ingresar a AT&T Bell Labs y robar su archivo de contraseñas. El pionero de Internet, Bill Cheswick, que trabajaba para Bell Labs en ese momento, dirigió al atacante hacia lo que llamó "una persecución alegre" a través de algunos sistemas ad hoc de honeypot para rastrear su ubicación y aprender sus técnicas. Su escrito del incidente, "An Evening with Berferd" fue extremadamente influyente.

Pronto, los honeypots comenzaron a convertirse en una parte más estandarizada de la caja de herramientas del profesional de seguridad. El proyecto Deception Toolkit se lanzó en 1997; aunque ahora está inactivo, su sitio web aún está en funcionamiento con el glorioso diseño de finales de los años 90. El Proyecto Honeynet, que comenzó en 1999, sigue activo hoy como un recurso de la comunidad de seguridad.

Software honeypot

Existen una serie de proyectos de honeypot con ofertas, la mayoría de ellos gratuitos y de código abierto. Uno de los más venerables es Honeyd, un honeypot virtual de baja interacción. El proyecto Honeynet mencionado anteriormente ha reunido una extensa lista de herramientas que proporciona no solo la funcionalidad de honeypot, sino también formas de analizar los datos que recopilan los honeypots.

Además, hay una lista impresionante de honeypots en Github que los divide en varias categorías. La lista es, en realidad, una excelente manera de conocer la diversidad de tipos de honeypot que existen -por ejemplo, hay honeypots que simulan todo, desde bases de datos hasta dispositivos industriales SCADA.

Existen pocos sistemas de honeypot comerciales independientes; en cambio, la mayoría de los proveedores de engaño ofrecen honeypots como parte de sus soluciones. InsightIDR de Rapid7 es uno de esos productos.

Construya un sistema honeypot

¿Listo para desplegar su propio honeypot? Es posible que desee seguir un tutorial en línea. Splunk, una herramienta de seguridad que puede recibir información de los honeypots, describe cómo configurar un honeypot utilizando el paquete de código abierto Cowrie. Y si desea mantener las cosas aisladas de su propio sistema, 0x00sec.org le dirá cómo configurar un honeypot ¡gratis! en un servidor de Amazon AWS.